同源策略？

同源策略/SOP（Same origin policy）是一种约定，属于浏览器的一个安全功能。不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。

基于这个策略，有以下几种限制：

• cookie：js不能读取其它域下的cookie，否则你的登录信息，安全信息就泄露了；
• Storage和IndexDB： 道理同cookie；
• DOM 和 JS 对象；
• AJAX请求：不能发送另一个域下的Ajax请求；

什么是跨域

如果违反了同源策略，则就会产生跨域。哪些情况才算是跨域呢？

1. 页面域名不同： 和 不同源
2. 父级域名相同，子域名不同： 和 不同源
3. 端口不同：:8888 和 :8000 不同源
4. 协议不同： 和 不同源

解决跨域的方式

jsonp跨域

jsonp跨域的原理很简单，借鉴了html中script脚本可以来自不同域的原理。想一想是不是script中的src属性值可以设置为来自第三方的js。

但是这也限制了jsonp只能做GET请求，同时需要后端做配合。

举例说明：

有一个跨域的请求： http://c.com/getInfo?id=xxx。因为同源策略的限制，我们通过Ajax无法操作。那么使用jsonp，该如何绕过跨域的限制呢？直接看代码：

<script src="http://c.com/getInfo?id=xxx&cb=showInfo">;

这段代码中相对于我们刚才列出接口多了个参数cb=showInfo。这个参数值代表数据请求成功后回调方法，这个方法用于处理接口返回的数据。而在服务端，在返回数据时，要做一些处理。具体方式就是返回如何格式的数据：

showInfo(data)。

data就是通过接口想要获得数据。

document.domain

如果两个源的父级域名一致，例如两个站点分别为 和 。 则可以通过设置window.domain = 'c.com'这样一来，他们的域也就相同了，可以互相操作。但是这种方式的缺点就是只适用于根域名一致的情况。也就是说，我们不可以将 window.domain设置为 d.com 或者 e.com之类的。只能设置为它根域名下的某个域。

document.domain + iframe

虽然通过document.domain的方式，我们只能在根域名一致的情况下进行跨域。但是如果配合iframe，则可以扩展我们的能力范围。例如：想要使a.com页面不跳转也能得到b.com里的数据。在a.com页面中使用一个隐藏的iframe来充当一个中间人角色，由iframe去获取b.com的数据，然后a.com再去得到iframe获取到的数据。

cros跨域解决方案

CORS：一种跨域访问的机制，可以让AJAX实现跨域访问；CORS允许一个域上的网络应用向另一个域提交跨域AJAX请求。 服务器设置Access-Control-Allow-Origin HTTP响应头之后，浏览器将会允许跨域请求． 就是使用自定义的HTTP头部让浏览器与服务器进行沟通，从而决定请求或响应是应该成功，还是应该失败。

更多信息可以参考

Web sockets来跨域

同源策略对websocket请求不适用。

其原理：在JS创建了web socket之后，会有一个HTTP请求发送到浏览器以发起连接。取得服务器响应后，建立的连接会使用HTTP升级从HTTP协议交换为web sockt协议。

nginx转发

通过代理设置，进行转发，一样可以达到跨域的目的。